Registro de auditoría, evidencia y retención GDPR en la firma electrónica
El registro de auditoría de una firma electrónica es evidencia digital de quién firmó, cuándo y cómo. Es una parte crítica de la validez de la firma y la resolución de disputas. En este artículo, analizaremos qué contiene el registro de auditoría, cómo afecta GDPR a la retención de datos y cómo una pequeña empresa puede organizar su archivo.
¿Qué es un registro de auditoría?
Un registro de auditoría (en finlandés, jäljitysketju o lokipolku) es un registro recopilado automáticamente del evento de firma. Registra cada paso de principio a fin.\n\nEl registro de auditoría es una parte esencial del valor probatorio de una firma electrónica. Sin él, una firma electrónica es básicamente solo un píxel en la pantalla: el registro de auditoría la hace legalmente significativa.
¿Qué información contiene el registro de auditoría?
Un registro de auditoría completo contiene la siguiente información:
- Nombre y dirección de correo electrónico del firmante
- Método de autenticación utilizado (credenciales bancarias, certificado móvil, confirmación por correo electrónico)
- Marca de tiempo (fecha y hora, zona horaria)
- Dirección IP desde la que se realizó la firma
- Información del dispositivo y del navegador
- Hash criptográfico del documento (hash) – prueba que el documento no ha sido modificado
- Hora de envío y hora de apertura de la solicitud de firma
- Hora de finalización de la firma
Lo que esto significa en la práctica: si un cliente niega haber firmado un contrato, el registro de auditoría muestra que una persona específica abrió el documento desde una dirección IP específica, se autenticó con credenciales bancarias y firmó el documento en un momento determinado.
GDPR y almacenamiento de firmas electrónicas
El registro de auditoría contiene datos personales, por lo que GDPR (Reglamento General de Protección de Datos de la UE) define cómo se pueden procesar y retener.
- Especificidad del propósito: los datos solo se pueden recopilar para un propósito específico (verificación de la firma)
- Minimización de datos: solo se recopilan los datos necesarios
- Limitación del plazo de conservación: los datos se conservan solo el tiempo necesario
- Integridad y confidencialidad: los datos deben protegerse técnicamente
En la práctica, el período de retención de las firmas y los datos asociados del registro de auditoría depende de la naturaleza del contrato:
| Tipo de documento | Periodo de conservación recomendado | Justificación |
|---|---|---|
| Contrato comercial | 6–10 años desde la finalización del contrato | Fecha de vencimiento (general 3 años, 5 años según la ley de comercio) |
| Contrato de trabajo | 10 años desde la finalización de la relación laboral | Caducidad de las deudas laborales |
| Documentación contable | 6 años desde el cierre del ejercicio | Ley de contabilidad 2:10 |
| Transacción inmobiliaria | De forma permanente o al menos 10 años | Requisitos según la Ley de Tierras |
Modelo de archivo para pequeñas empresas
Una pequeña empresa puede organizar su archivo de firmas electrónicas de manera simple:
- Use a signature service (like EpicSign) that automatically archives signed documents and audit trails.
- Defina los períodos de retención por tipo de documento (consulte la tabla anterior).
- Exporte los contratos más importantes también a su propio sistema de copia de seguridad.
- Revise una vez al año si hay documentos caducados que puedan eliminarse de acuerdo con el GDPR.
- Documente sus prácticas de retención en la declaración de registro.
Ejemplo práctico: empresa de contabilidad y contratos con clientes
Una empresa de contabilidad de Tampere pasó de los contratos en papel a EpicSign. Anteriormente, los contratos estaban en carpetas, algunos en la oficina, otros con los clientes. Nadie estaba seguro de dónde estaba la última versión. Después de la firma electrónica, la situación cambió:
- Todos los contratos se encuentran en el archivo electrónico con la función de búsqueda.
- The audit trail proves who signed and when.
- Se actualizó la declaración de registro GDPR para incluir la retención de datos de firma.
- Old agreements are automatically deleted after their retention period expires.
Frequently asked questions
¿Cuánto tiempo se debe conservar el registro de auditoría?
The retention period depends on the type of agreement. For commercial agreements, typically 6–10 years; for employment agreements, 10 years from the end of employment.
Does the audit trail contain personal data?
Yes. The signer's name, email, and IP address are personal data according to GDPR. They must be processed in accordance with data protection regulations.
¿Se puede modificar el registro de auditoría posteriormente?
No. A cryptographic hash ensures that the data cannot be altered without notice. This is a basic requirement for an audit trail.
How does GDPR affect the retention of signing data?
GDPR requires that data is retained only for the necessary period. Once the retention period expires, the data must be deleted or anonymized.
Does EpicSign automatically save the audit trail?
Yes. EpicSign automatically creates a comprehensive audit trail for every signing event.
Fuentes
Este artículo es de carácter general y no constituye asesoramiento legal.
Pruebe EpicSign
Comience una prueba gratuita y envíe su primera solicitud de firma en menos de 20 segundos.
Ver precios